私たち人間が陥りやすい認知バイアスがあります。そのバイアスこそが、サイバーセキュリティの専門家が日々直面する課題の核心にあります。「正常性バイアス」と呼ばれるもので、ローレン・ブレイスウェイト博士が定義するように、「重大な脅威や危機に直面していても、災害の可能性を過小評価し、日常が続くと信じてしまう傾向」のことです。火災警報が鳴っても人が躊躇したり、まだ何とかなりそうに見えるからといって進行中の事態への対応を遅らせてしまうのも、このバイアスが原因です。
このバイアスは、慣れ親しんだ状況を安全と誤解させ、思い込みを根拠として扱わせてしまうため、サイバーセキュリティの現実への対処をますます妨げています。サイバー攻撃の可能性を過小評価させたり、明らかな問題や被害がないことを、リスクが管理下にある証拠と解釈させてしまいます。実際のところ、多くの組織が採用している保護プラットフォームから明確なアラートが出ていないことを、「すべて問題なし」の証拠として扱っています。あるいは、普通通りに業務が継続されると思い込み、警告サインへの対応が遅れるケースもあります。
一方、M&S、JLR、Co-opといった組織の侵害に関するニュースが絶えず続く中(実際には大半の侵害がトップニュースになることはありませんが)、次の被害者にならないためのアドバイスがサイバーセキュリティ業界や政府機関から発信されているにもかかわらず、重大インシデントの件数は驚くべきペースで増え続けています。
NCSCアニュアルレビュー2025によれば、2025年8月までの12ヶ月間に「全国的に重要な」サイバー攻撃が204件報告されており、前年の89件から130%増加しています。合計429件のインシデントのうち、18件が「極めて重大」に分類され、深刻なインシデントが50%増加しています。侵害発生率は依然として高止まりしており、侵害リスクの「正常化」が静かに進んでいることを示しているかもしれません。これはいわば大規模な正常性バイアスとも言えます。侵害の情報開示が一般化すればするほど、一件一件の緊急性が薄れていくのです。
教訓は活かされているのか?
サイバーセキュリティの侵害を含む、あらゆる種類の大惨事が起きると、政府も企業も同じようなフレーズを口にします。「教訓を得た」というものです。
しかし、本当にそうでしょうか?2024年から2025年にかけての重大インシデント130%増という数字は、この主張を真っ向から否定し、マクロレベルでは教訓が活かされていないことを示しています。どう見ても「ノー」ではないでしょうか。
昨年、侵害後の心理状態をある程度説明できるかもしれないブログ記事を書きました。その中で私は、多くの企業がある意味では「侵害されている状態」と「侵害されていない状態」が同時に存在しており、この状況をシュレーディンガーの猫に例えました。ログを精査したり、侵害を積極的に調査することで箱を開けるまで、「侵害されていない」という安心感は、誰も実際に確認していないという事実を反映しているに過ぎません。実際、この「見ようとしない」という消極的な姿勢も、正常性バイアスが静かに作用している表れかもしれません。
「教訓を得た」とは、箱を開けて猫が(残念ながら)死んでいるのを見つけた後に、「何が起きたか把握しています、もう対処できています、ご心配なく」と宣言することに相当します。これはあくまでナラティブ(語り)であり、アプローチが実質的に変わったことの証拠ではありません。
これに対し、真の学びとは組織の行動様式を変える能動的なプロセスです。それは予算、ポリシー、ルール、復旧計画、サプライヤーの精査、ロギング、モニタリング、トレーニング、そして誤りへの許容度など、さまざまな面での変化として反映されるべきです。そして、これらはすべて避けられない侵害が起こる前に実施しておく必要があります。何しろ、動く標的に当てるのははるかに難しいのです。
つまり、正常性バイアスが人間に共通した認知的傾向であることを受け入れられれば、侵害が起こる前の油断を避け、その影響を最小化する方向に進んでいけます。「過ちは人の常」と言いますが、何が問題なのか今やわかっている以上、その知識に基づいて行動し、これまでとは違うやり方をする義務があります。
最終的な結末:このバイアスに気づかなければ
犯罪者という「監査人」たちは、人間のミスを当てにしています。フィッシングが依然として最も一般的な侵害手法の一つであり続けているのも、そのためです。
サイバーセキュリティにおいて、最終的な結末はおおよそ2つのパターンで展開します。
一つは、定期的に自己監査を行うこと。ペネトレーションテスト、レッド/ブルー/パープルチームなどの攻撃シミュレーション演習を実施し、脅威の状況を定期的に再評価し、サイバーレジリエンス戦略の一環としてセキュリティ対策に投資するというアプローチです。
もう一つは、サイバー犯罪者に「監査」を代わりにやらせてしまうことです。彼らは(文字通りの意味で)偽りのセキュリティ感覚を頼りにしており、これこそが彼らが突いてくる鎧の隙間です。
犯罪者による「監査」は、残酷で、費用がかかり、壊滅的で、多くの場合、組織にとって致命的にもなり得ます。だからこそ、このメタファーには意味があります。サイバー犯罪者は、組織がセキュリティについて信じていることと現実とのギャップを見つけ出すのです。
規模感をお伝えすると、ESETの脅威インテリジェンスは毎日、75万件の不審なサンプルを処理し、25億のURLを分析してそのうち50万件をブロックしています。脅威アクターは容赦なく、攻撃はますます高度化しています。私たちは「自分たちは無敵だ」という考えを捨て去り、正常性バイアスの存在を認め、それに基づいて行動することが求められます。
英国における一連の注目すべき小売業の侵害を受け、ESETは2,000人の消費者を対象に調査を実施しました。そのレポートによれば、購入者の46%が、データ侵害後に信頼を取り戻すのに5ヶ月以上かかると回答しています。これはかなり高くつく「監査」です。経営幹部が関心を持つのがそこだけだとしても、直接的な財務損失を試算するのは難しくありません。これが非常に痛みを伴う氷山の一角に過ぎないとしても、これだけでも十分なはずです。
結論
正常性バイアスの中で私が最も興味深いと感じる側面は、攻撃ベクターの高度化・高速化・増加・多様化を誰もが認識しているにもかかわらず、サイバーレジリエンス戦略へのアプローチが、比較的最近のことであっても過去に根ざしたままになりがちだという点です。しかし、サイバーセキュリティの世界では時間は素早く過ぎていきます。あなたがこの記事を読むのにかかった4〜5分の間に、ESETは2,000件以上の不審なサンプルを処理し、約700万のURLをスキャンして、そのうち約1,500件をブロックしています。
サイバーセキュリティサービスの見直しが必要な理由を考えるとき、ここ数年でグローバルにも国内でも変化したすべてのパラメータを踏まえ、それが現在のセキュリティ態勢にどう影響するかを考慮できているでしょうか?
すぐに思い浮かぶだけでも、いくつかは挙げられるのではないでしょうか:
- AI活用型詐欺およびその他の脅威の増加
- ウクライナ戦争
- イラン情勢
- 世界規模でのサイバー犯罪コストの増大
- ディープフェイク
- ソーシャルエンジニアリング攻撃の増加
- 主要な攻撃ベクターとしてのフィッシングの継続
- サイバーセキュリティソリューションとサービスの複雑化
- 懸念されるほどに広がるサイバースキルギャップ
他にも数多くあるのは言うまでもありません。ほんの数年前にベンダーが提供していた保護レベルが段階的に廃止され、MDR/XDR/MXDRサービスとソリューションが標準となりつつあるのも、偶然ではありません。
その間、犯罪者という「監査人」たちは確実に、これまでの成果に甘んじることなく活動を続けています。AIのような新しいツールを使うことが必ずしもより優れたコーディングを意味するわけではありませんが、攻撃を大規模に展開することを可能にし、前例のないペースで脆弱性を探索できるようにしています。
- 監査、テスト、サイバー意識向上、防御技術に投資していないのなら、お金を節約しているのではありません。単に保証業務を犯罪者に外注しているだけです。
- 経営幹部がサイバーセキュリティに最も真剣になるのは、高くついた侵害の直後、つまり日常が打ち砕かれた後です。もっと早い段階で関与させてください。
- 犯罪者たちはエージェンティックAIを傍らに、24時間体制で活動しています。あなたのソリューションはそれに対応できるほど堅牢ですか?確認してください。
- 組織の規模に関わらず、サイバープロファイルとレジリエンスを常に見直す必要があります。
- (インシデントの)沈黙を安全と誤解しないでください。24時間365日のMDR/MXDRサービスに投資しましょう。
- 今や「正常性バイアス」の罠をご存知のはずです――それを避けてください。
翻訳元: https://www.welivesecurity.com/en/business-security/cybercriminals-auditors-never-hired/
